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基于 中 间 盒 的 SDN 网 络 信息 服务 中 心 策 略 实施 架构 
ane, ok Fl, HI, WH 


(火箭 军工 程 大 学 保障 学 院 ,西安 710025) 


摘 要 : 中 间 鳄 是 一 种 网 络 管理 员 手 动 设 置 行为 策略 的 设备 。 软 件 定义 网 络 〈software-definednetwork，SDN) 的 出 现 
得 中 间 金 实施 策略 的 可 能 性 变 得 多 样 化 。 为 改善 信息 服务 中 心 的 安全 防护 ， 提 出 一 种 无 须 管理 员 参 与 即 可 响应 网 络 

ae SDN 的 动态 中 间 策 略 实施 架构 ,提出 可 以 满足 控制 器 与 中 间 金 之 间 通 信 的 接口 。 在 虚拟 机 中 实施 了 具有 防 

火 墙 和 入 侵 防 御 系 统 (intrusion ane system, IPS) 的 中 间 盒 原型 来 评估 策略 执行 体系 , 验证 原型 获得 的 实验 效果 。 

结果 表明 ， 该 体系 结构 能 够 在 不 影响 网 络 性 能 的 前 提 下 动态 执行 中 间 盒 策 略 ， 使 网 络 应 用 程序 能 够 正常 运行 

关键 词 : PHS; SDN; 策略 实施 

中 图 分 类 号 : TP393.07 doi: 10.19734/j.issn.1001-3695.2018.06.0458 


Middleware-based SDN network information service center policy implementation framework 


CN Li Hailong, Zhang Zhao, Dong Siqi, Hu Lei 
(School of Military Operation Support, Rocket Force University of Engineering, Xi’an 710025, China) 


Abstract: A middlebox is a device that a network administrator manually sets behavior policies. The advent of Software-defined 
networks (SDN) has made it possible to diversify the possibilities of implementing a middlebox implementation strategy. In 
order to improve the security of the information service center, this paper proposes an SDN-based dynamic intermediate policy 
implementation architecture that can respond to network events without administrators’ participation, and proposes an interface 


that can satisfy the communication between the controller and the intermediate box. An intermediate box prototype with a 


pl firewall and an intrusion prevention system (IPS) was implemented in the virtual machine to evaluate the policy execution 


system and verify the experimental results obtained by the prototype. The results show that the architecture can dynamically 


execute the middlebox policy without affecting network performance, so that the network application can run normally. 
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视图 的 集中 控制 使 得 安全 系统 的 自动 化 有 了 可 行 性 。 


0 引言 


言 息 服务 中 心 的 安全 防护 系统 ， 用 于 确保 信息 服务 基础 设 
施 安全 可 靠 运行 ， 信 息 资源 安全 受 控 访问 ， 以 及 不 同 域 间 信 息 中 间 盒 是 在 计算 机 网 络 中 执行 交换 和 路 由 之 外 功能 的 中 间 
的 安全 交换 ， 防 范 外 部 攻击 和 非 授权 访问 。 信 息 服 务 中 心安 全 ” 网 络 元 件 趾 。 它 们 扮演 着 诸如 安全 增强 (例如 ， 侵 入 检测 /预防 
防护 系统 由 信息 服务 中 心 局 域 网 安全 防护 系统 、 信 息 服务 保护 ” 系统 和 防火 墙 ;， 性 能 改进 (如 WAN 优化 器 和 代理 ) 和 IP 地 
系统 和 域 间 信息 传送 安全 控制 系统 组 成 。 信 息 服 务 中 心 局 域 网 址 保护 《网络 地 址 转换 器 (network address translation,NAT) ) 等 
安全 防护 系统 主要 部 署 防火 墙 、 入 侵 检 测 、 防 病毒 和 虚拟 机 安 ”至 关 重 要 的 角色 。 中 间 盒 的 行为 通常 由 网 络 管理 员 手 动 和 主动 


Ft 


全 防护 等 系统 ， 并 采用 自主 可 控 、 可 信 计 算 等 措施 ， 提 升 系统 ”配置 的 策略 来 定义 ， 网 络 管理 员 需 要 预测 网 络 中 可 能 发 生 的 事 
安全 防护 能 力 ， 保 证 信息 服务 中 心 基 础 设施 安全 可 靠 运行 。 件 。 这 种 做 法 比较 麻烦 ， 原 因 如 下 : 

传统 网 络 配 置 中 ， 安 全 系统 的 布控 主要 依赖 于 网 络 管理 员 a) 政策 配置 过 程 很 容易 出 错 ， 因 为 它 很 复杂 ， 高 度 依赖 于 
的 人 为 操作 ， 往 往 是 网 络 管理 员 针 对 不 同 的 网 络 威胁 在 网 络 中 ANF; 
作出 相应 的 防御 策略 ,但 是 这 种 人 为 的 安防 措施 耗费 精力 较 大 ， b) 网 络 运营 可 能 无 法 正确 或 及 处 理事 件 ; 
同时 防御 效率 也 相对 较 低 , SDN 技术 的 可 编程 器 件 及 其 对 网 络 c) 现在 的 许多 应 用 程序 都 是 动态 的 , 并 且 建 立 了 很 难 预 测 
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AY EPRI, 


在 软件 定义 网 络 中 ， 数 1 


个 或 多 个 中 央 控 制 器 参与 网 络 


理 中 间 盒 及 其 配置 的 


李 海 龙 ， 等 : 


昌 转 发 和 控制 层 之 间 是 分 离 的 ， 


有 了 更 好 的 可 编程 性 中 。 
于 控制 功能 的 集中 化 和 网 络 设备 的 可 编程 性 ,SDN 为 处 
新 方法 提供 了 可 能 。 在 文献 [4~8] 中 介绍 了 


FP 的 规则 配置 。 这 
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ChinaXiv 合 f 
第 3 


到 控制 器 上 运行 的 应 用 程序 ， 以 便 与 ] 


期 刊 


第 37 HH 1 期 


空 制 器 所 掌握 的 集中 式 流 


让 网 络 设备 具 


起 进行 分 析 。 例 如 ， 代 理 可 


程 信息 


以 获 


一 些 相关 主题 的 方法 。 在 文献 [4,5] 中 ，SDN 控制 器 使 用 
来 删除 或 添加 策略 。 文 献 [4] 通 过 设计 API 来 实现 联合 控制 ， 
文献 [5] 提 出 的 体系 结构 通过 迁移 中 


间 盒 的 实例 来 实施 策略 ， 


AmE 


但 


是 ， 以 上 两 种 方法 在 内 部 状态 发 生变 化 的 时 候 都 仍 需 要 管理 员 


对 原 


设计 进行 改进 ， 要 求 管理 


策略 ， 所 以 


包 处 理 


SDN #2 fh 


上 述 两 种 个 方法 
文献 [6] 提 出 FlowTags 架构 ， 使 用 增强 型 中 间架 
的 特定 内 部 功能 ， 增 强 控制 器 的 可 扩展 
延迟 的 效果 。 在 文责 
过 一 系列 中 间 盒 〈 例 如 防火 墙 一代 
中 间 盒 产生 的 变化 可 能 会 导 


有 任何 交互 作 / 


]， 这 种 映射 


[6、7] 都 讨 


员 至 少 在 一 个 实 


KATE 


网 认为 控制 


生 ， 从 而 


[17] 中， 建议 动态 地 配置 交换 机 以 通 


里 一 NAT) 转 


论 了 如 何在 一 个 中 间 售 
他 中 间 盒 的 正确 策略 设置 ,所 以 操 
文献 [8] 通 过 改变 SDN 控制 器 来 获取 中 间 盒 的 修 
能 够 通知 中 间 盒 其 他 设备 所 做 的 改变 。 利 用 特定 的 南 向 接口 来 


致 数据 包 不 能 正确 转 
器 来 映射 中 间 盒 前 后 数据 包 的 信息 。 与 


只 能 通过 控制 器 完成 


1 Afe 


例 上 手动 配置 
的 这 一 需求 。 
构 修改 中 间 盒 
达到 降低 数据 


n 


发 业务 。 由 于 
发 ， 所 以 使 用 
中 间 盒 本 身 没 
。 上 述 的 文献 


取 中 间 存储 的 
配置 文件 ， 然 后 将 这 些 数据 发 送 给 应 用 程序 。 代 到 
空 制 器 都 是 透明 的 。 这 种 方式 下 ,架构 能 确保 与 当前 SDN 标准 


的 兼容 性 。 中 间 盒 的 功能 没有 变化 ， 网 络 中 的 控 和 
备 不 需要 修改 。 
Cr | | Le] 


[ SDN Controller 


OpenFlow Switch 


图 1 体系 结构 组 成 部 分 


Fig.l Architecture component 


男 外 ， 


控制 器 完整 的 网 络 视图 可 以 使 策略 得 到 


日 志 或 
对 中 间 盒 和 


上 器 或 其 他 设 


| 优化 。 这 种 


各, 但 


i 


W 


是 


作 的 方便 性 并 不 是 十 分 的 好 。 


是 可 能 干扰 其 


改 内 容 ， 并 且 


方案 允许 中 间 盒 在 应 用 时 向 


空 制 器 沟通 ， 


以 便 ] 


该 信 ae 
将 其 通知 给 控制 器 ， 控 制 


空 制 器 可 以 使 用 
来 配置 其 他 中 间 盒 或 交换 机 。 例 如 ，IPS 识别 恶意 流量 
器 可 以 将 这 些 流量 转发 给 另 一 个 
IPS 进行 更 深入 的 检查 ,或 者 配置 一 个 交换 机 来 丢弃 这 个 流量 。 


日 程序 自动 控制 ， 


但 是 管理 员 可 以 创建 应 


动 更 改 ， 使 中 间 盒 更 加 


使 用 


有 特定 特性 


执行 控制 器 和 中 间 盒 之 间 的 通信 。 文献 [8] 提 出 的 体系 结构 描述 这 些 操作 可 以 通过 在 控制 器 上 运行 的 应 月 
了 源 和 目的 地 之 间 的 最 短路 径 包 含 所 有 必需 的 中 间 盒 ， 但 是 ”或 者 发 送 给 管理 员 进行 进一步 分 析 。 这 种 方式 下 ， 网 络 管理 员 
SDN 控制 器 和 中 间 盒 之 间 没 有 交互 。 总 之 ， 上 述 的 文献 提出 ”在 配置 中 间 盒 方面 仍然 起 着 关键 作用 。 
了 一 些 处 理 使 用 SDN 特性 带 来 的 数据 包 修改 带 来 的 问题 的 方 ” ”用 程序 来 自动 执行 此 任务 ， 一 次 将 策略 应 用 于 多 个 中 间 盒 ， 
法 。 但 是 ,它们 都 没有 消除 在 中 间 盒 中 手动 配置 策略 这 一 流程 ， 非 是 依次 配置 每 个 中 间 盒 。 如 果 管 理 员 事先 授权 策略 中 的 更 改 
这 是 管理 员 要 执行 的 一 项 复杂 工作 。 而且, 其 中 一 些 如 [7] 和 [8] ”措施 ， 策 略 可 能 会 根据 网 络 中 的 事件 自 
不 考虑 SDN 控制 器 和 中 间 盒 之 间 的 通信 ， 这 降低 了 它们 的 集 ”灵活 。 
成 度 ， 并 限制 了 中 央 控 制 器 的 优势 。 本 文中 进一步 描述 和 评估 的 例子 是 在 控制 器 上 运行 

本 文 提出 了 一 种 中 间 盒 策略 执行 体系 结构 ， 利 用 SDN 中 中 间 软 件 代理 配置 防火 墙 的 应 用 程序 。 此 应 用 程序 会 分 析 控制 
空 制 器 集中 实现 的 可 编程 接口 ， 使 中 间 盒 能 够 处 理 动态 网 络 应 器 收 到 的 数据 包 ， 以 确定 防火 墙 是 允许 还 是 拒绝 
用 程序 ， 并 且 无 顷 人 工 配 置 就 可 以 响应 网 络 中 的 事件 。 使 用 软 ”的 通信 。 本 文 使 用 Python 下 的 防火 墙 CIptables5J) 和 JIPSCSnort0 
件 代理 充当 SDN 控制 器 和 中 间 盒 之 间 的 代理 ， 同 时 能 够 使 用 ”软件 代理 ， 下 文 将 详细 地 介绍 所 提出 的 架构 的 每 个 组 件 。 
OpenFlow 协议 与 基础 架构 设备 进行 交互 ， 而 无 须 在 OpenFlow 2.1 控制 器 和 应 用 程序 


中 进行 任何 修改 。 
2 ”策略 执行 机 制 


本 文 提出 的 策略 执 
势 缓解 SDN 网 络 中 间 盒 配置 的 压力 。 


行 机 制 利用 可 编程 器 件 和 
它 允 许 动 ; 


略 执行 ， 


个 可 选 的 软件 代 3 


且 对 这 些 网 络 中 的 常规 接 
所 提出 的 架构 ， 如 图 
中 间 盒 获得 的 数据 


1 所 示 ， 


使 用 SDN 
以 动态 和 自 


进行 最 小 


动 的 方式 选择 最 


HK 


保障 控制 器 和 中 


空 制 器 的 集中 视图 ， 


中 控制 的 优 
态 的 中 间 盒 策 


合适 的 策略 。 


间 盒 之 间 的 交 


理 程 序 获 取 中 间 盒 中 已 经 存在 的 数据 ， 并 将 该 数据 发 送 


所 提出 的 架构 是 使 用 基于 Ryu 框 架 


框架 是 SDN 的 一 个 主动 更 新 的 开 
OpenFlow 和 其 他 各 种 


协议 ， 同 时 支持 OpenStack!!), 24 


的 控制 器 来 实现 的 .Ryu 
匡 架 ， 支 持 最 新 版 本 的 


aA 


空 制 器 


收 到 来 自 交换 机 的 包 输 入 消息 时 ， 它 将 该 消息 传递 给 正在 运行 


的 应 用 程序 。 这 种 类 型 的 消息 


Le Ri 


这 些 信 息 被 提取 并 用 
22 与 中 间 盒 的 通信 
专 有 的 中 间 盒 通常 
以 及 开发 应 用 程序 以 扩展 其 功能 。 


oO 


LA UE Sb BCH 


E 网 络 流量 记录 的 信息 ， 
用 于 规划 中 间 盒 中 设置 的 策略 。 


交互 的 应 用 程序 接 
但 是 ， 由 设备 执行 操作 的 


控制 受到 制造 商 的 限制 ， 中 间 盒 的 修改 受 限 。 另 一 方 


面 ， 开 源 


VY 
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a 
a 


IV 


ina 


ch 


的 中 间 盒 可 以 根 和 


李 海 龙 ， 


盒 较为 复杂 ， 修 改 它们 的 代价 也 较 昂 贵 。 


鉴于 上 述 原 因 ， 本 文 提出 的 
中 间 盒 之 间 的 通信 : a 
其 进行 修改 ;b ) 对 于 中 间 盒 是 
人 进行 。 
在 这 两 个 选项 


供 控制 器 和 


中 间 代 理 


(JSON) 格式 进 


PPE 


IT 


体系 结构 提供 了 两 种 选择 来 提 
) 通过 在 中 间 
有 的 或 其 修改 过 于 复杂 的 情况 ， 


换 ，JSON sired 
使 传输 速度 更 快 。 策 略 按 以 下 格式 传输 : 


PP， 数据 都 是 使 用 JavaScript 对 象 表示 法 
居 以 紧凑 的 方式 传输 ， 


a) 数 据 包 标 头 ,策略 处 


pb) 状态 , 策 


的 流量 信息 


各 的 状态 (如 允许 或 拒绝 


的 操作 ， 或 代理 缓存 的 状态 )。 


添加 策略 到 


防火 


中 间 盒 的 请 求 示例 如 下 : 


{“context”: {scr_ip’:192.168.1.10”, 
“dst_ip”:”168.168.1.11”, 
“ser port”:”54532”, 


CAN TP 地址 、 端 


F: ATHE SDN 网 络 信息 服务 中 心 策略 实施 架构 


昌 开 发 者 的 需求 进行 修改 。 然 而 ， 这 样 的 中 间 


络 流量 。 因 此 ， 
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般 通 过 在 流量 中 执行 


文采 ) 


] 类 似 于 [5] 中 提出 的 在 控制 器 内 部 存储 关于 


= 


eee 


盒 中 添加 API 对 


H). 
墙 阻 止 /释放 执行 


“dst_port”:”4345”, 
“action”: {“action”:”block”}} 
该 接口 也 发 出 对 控制 器 请 求 的 响应 。 在 成 功 的 请 求 中 ， 发 
送 HTTP 代码 200 来 识别 这 个 状态 。 在 不 成 功 的 请 求 中 ， 错 误 
代码 与 描述 问题 的 消息 一 起 被 传送 。 


当 软 件 代理 与 控制 器 沟通 的 


区 式 ， 由 于 添加 


> OH 


a 


单 的 数据 传输 格式 ， 故 而 因此 增加 的 传输 姑 
代理 人 修改 中 间 盒 过 于 复杂 当 情 况 时 ， 
中 间 盒 需要 作出 当 修 改过 了 
的 代价 要 远大 于 添加 个 别 


复杂 ， 所 以 
代理 人 进行 此 项 工作 的 代价 ， 所 以 相 


同时 ， 倘 若是 通过 增加 API 的 


的 API 直接 添加 到 了 中 间 和 当中 ， 并 且 使 


JE] 


F 销 相对 较 小 ， 当 使 


在 此 种 情况 下 ， 由 于 
其 自身 进行 修改 调试 


访问 上 


息 的 方法 ， 这 样 相对 使 用 外 部 存储 可 以 


o 


3 ”实验 验证 与 结果 分 析 


3.1 
为 


Mininet 


盖 一 些 最 常见 的 生产 环境 : 
使 用 通用 的 开源 软件 。 选 择 Python 开发 软件 


(Snort 


实验 设置 
了 验证 策略 执行 体系 结构 ， 在 虚拟 机 VM》 中 使 用 


操作 来 表示 其 状态 。 本 
流量 修改 信 
使 应 用 程序 更 快 地 进 


行 


2.2.1 软件 实现 原型 。 为 了 验证 , 选择 了 两 个 中 间 盒 来 覆 


防火 


141), Hs 


里 ， 在 每 个 中 间 盒 中 获取 和 
在 


设置 策略 。 
出 器 上 运行 的 应 用 程序 将 接收 


入 消息 ， 


包 输 


定义 的 


息 ， 如 IP 地 址 ，TCP/UDP Yri 


于 在 中 间 盒 中 创 


建 和 设置 适当 的 策略 。 


fei (IPt-ables!!31) 和 IPS 


代 


查找 预 
口 和 应 用 程序 层 协 议 。 


JFE 


H} 


这 些 信 息 / 


序 收 到 确认 策略 已 成 
过 网 络 设备 将 


功 设置 ， 控 制 器 将 更 新 流 规则 ， 以 允许 通 


i 量 转 发 到 中 间 盒 。 算 法 1 是 设 


~ 


Internet 


time transport proto 


程序 的 


= 


protocol〉 通 信和 通过 防火 墙 使 用 带 


防火 墙 策略 应 
个 示例 ， 如 下 所 示 。 它 可 以 允许 VoIP (voice over 
实时 传输 协议 (real- 
col,RTP) 和 会 话 启动 协议 (session initiation 


protocolLSIP) 协议 的 动态 端口 。 

Ryu 控制 器 具有 Web 服务 器 网 关 接 口 功 能 ， 可 以 部 署 具 象 
状态 传输 API. 原型 使 用 本 地 Ryu 函数 通过 将 Python 函数 映射 
到 特定 的 统一 资源 位 置 来 实现 其 API。 

策略 执行 机 制 的 原型 在 一 组 仿真 中 用 两 种 类 型 的 中 间 盒 

( 即 IPS 和 防火 墙 ) 进行 评估 。 此 外 ， 为 了 验证 实验 结果 ， 本 
文 进行 了 假设 检验 。 评 估 的 目的 是 验证 提出 的 机 制 是 否 可 以 在 


对 而 言 ， 在 此 情况 下 添加 代理 人 反而 降低 了 消耗 成 本 。 不 影响 网 络 和 应 用 性 能 的 情况 下 实现 。 预 计 该 原型 能 够 动态 修 
对 于 API 与 控制 器 交互 过 程 中 的 安全 问题 , 由 于 该 API 直 ” 改 防火 墙 策略 并 从 IPS 接收 策略 , 而 不 会 影响 相关 的 性 能 指标 。 

接 添加 到 中 间 盒 当中 ， 当 中 间 盒 与 控制 平面 中 的 控制 器 交涉 过 这 些 实验 使 用 在 增强 的 简单 因特网 协议 (simple Internet protocol 

程 中 与 控制 平面 想 联通 , 与 其 他 平面 相隔 离 , 而 且 跟 军 SDN 的 plus,SIPp) 上 运行 的 VoIP 通信 。 

特性 ， 这 种 隔离 是 一 种 比较 清晰 的 平面 隔离 ， 其 次 , 在 SDN 中 Algorithm 1 Algorithm used for policy configuration on a 

控制 器 与 上 层 应 用 平面 或 是 南 向 的 数据 层面 进行 数据 交涉 的 过 firewall. 

程 中 ， 都 存在 相应 都 安全 策略 ， 交 涉 前 存在 认证 账户 ， 交 互 中 while application is running do 

存在 了 PS 等 安全 措施 ， 在 API 与 控制 器 等 交涉 过 程 中 这 些 安全 2: receive the Packet-in 

音 施 都 可 以 为 控制 器 等 上 述 行 为 提供 安全 防护 防护 服务 。 3: if There is no policy with such information then 

2.3 软件 代理 4: for all Protocol header in the packet-in do 
如 上 所 述 ， 软 件 代理 可 以 用 作 中 间 盒 API 的 蔡 代 品 。 它 是 5: if Package from link layer then 

一 个 可 选 的 组 件 ， 旨 在 简化 策略 执行 的 采用 机 制 ， 特 别 是 在 中 6: Create a flow rule 

间 代 码 专 有 或 者 过 于 复杂 且 不 能 被 修改 的 情况 下 。 代 理 以 透明 7: else if Packet from the network layer then 

Fy FAR EE Hil] BS A a A OR, A SORE, 4K 8: Extract source and destination addresses 

里 用 来 实现 由 中 间 盒 供应 商 提供 的 预先 存在 的 API 或 者 基于 中 9: Update the flow rule 

间 盒 存储 的 数据 获取 状态 信息 的 独立 API. 10: else if Packet from transport layer then 

2.4 中 间 盒 的 状态 和 数据 存储 11: Extract destination port 
中 间 盒 有 多 种 类 型 ， 每 种 都 有 自己 的 方式 来 表示 这 些 设 备 12: Update the flow rule 

的 内 部 状态 。 但 所 有 的 中 间 盒 都 有 一 个 共同 点 : 检查 和 操纵 网 13: if UDP packet then 


= 811.00152v1 


TUR 


时 间 。 对 于 VoIP 呼叫 来 说 , 延迟 为 从 源 到 目的 
成 的 延迟 。 


据 包 总 数 。 数 据 包 丢 失 导 致 用 户 体验 下 降 ， 
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14: Set the flow rule as a UDP flow 应 失败 状态 ; 
15: else if RTP or SIP packet then e) 管理 防火 墙 的 控制 器 上 的 应 用 程序 接收 到 代理 的 响应 ， 
16: Create a policy with information extracted 设置 交换 机 将 流量 转发 到 防火 墙 ; 
from the packet-in D 防火 墙 接收 流量 并 应 用 控制 器 之 前 配置 的 策略 。 


17: Send the policy to the firewall 
18: if Policy successfully configured then 
19: Update the flow rule to forward the data to 


its desti-nation 


20: Send the flow rule to the switch 
21: else 
22: bypass 


评估 考虑 了 两 种 情况 : 动态 策略 的 一 种 情况 ， 


它 实 现 了 本 


文 提 出 的 体系 结构 ， 男 一 种 情况 是 静态 策略 ， 它 由 静态 中 间 盒 
策略 组 成 。 所 提 
示 的 附加 延迟 或 响应 时 间 造 成 的 , 以 Wireshark05 获 得 的 抖动 和 
分 组 丢失 来 衡量 。 


出 架构 造成 的 网 络 影响 是 通过 


在 SIPp 输出 中 显 


上 述 性 能 指标 如 下 所 述 
a) 延 迟 或 啊 应 时 间 : 网 络 完全 响应 应 用 程序 请 求 需要 多 长 
传输 分 组 所 造 


b) 数 据 包 丢失 : 丢失 的 数据 包 数 量 超过 应 用 程序 交换 的 数 


特别 是 对 于 实时 和 


此 流量 的 操作 ， 


从 交换 机 收 到 的 包 输 入 消息 中 寻找 SIP 和 RIP。 当 找到 这 些 协 
议 时 ， 此 应 用 程序 将 提取 源 卫 地 址 ， 
和 传输 层 协议 。 该 信 
软件 , 如 src: 192.168.2.101, dst: 192.168.4.200, dst port: 10934, 


protocol: 


配置 正确 时 啊 应 控 


交互 式 应 用 程序 ; 


9 抖动 : 延迟 网 络 中 数据 包 传送 的 变化 。 
评估 中 防火 墙 和 IPS 操纵 VoIP 应 用 的 流量 , 防火 墙 设置 


原型 动态 调整 。 在 产生 实验 结果 之 后 ， 进 行 统计 评估 以 确定 架 


构 对 网 络 性 能 的 影响 程度 。 使 用 的 拓扑 结构 如 图 2 所 示 。 创 建 
虚拟 接 
器 与 仿真 网 络 中 的 主机 进行 通信 。 
扑 结构 中 的 开关 S2。 
型 所 遵循 的 步骤 : 


之 后 , Mininet 认为 本 地 机 器 是 内 部 主机 ,允许 本 地 机 
该 接口 连接 到 图 2 所 示 的 拓 
以 下 是 在 实验 过 程 中 每 个 VoIP 呼叫 的 原 


a)IDS / IPS 在 数据 包 的 有 效 载荷 中 搜索 SIP 和 RTP 模式。 


当 IDS / IPS 发 现 这 些 模式 时 ， 它 发 送 源 和 目的 地 IP 和 端口 以 
及 应 用 于 流量 的 动作 应 用 于 控制 器 之 上 ; 


b) 流量 到 达 与 防火 墙 相连 的 交换 机 ， 向 控制 


器 查询 应 用 于 


c) 负 责 防 火 墙 配置 的 控制 器 上 面 的 一 个 应 用 程序 不 断 地 在 


火 墙 来 处 理 客户 端 和 中 心 之 间 的 所 有 流量 
流量 并 识别 流向 VoIP 中 心 的 流量 , Ryu 控制 器 执行 策略 执行 应 


Controller 


图 2 实验 使 


的 拓扑 
Fig.2 Topology used in the experiment 


泛 使 用 的 平台 ， 用 于 实验 和 原型 化 SDN 


Mininet 是 一 个 ) 


网 络 [6.716-181。 采用 比较 常用 的 VoIP SIPp 流量 生成 器 和 Asterisk 
软件 092。 根 据 相 关 的 参考 文献 572329 选 定 环 境 以 及 中 间 盒 和 
VoIP 呼叫 的 数量 。 


Asterisk 软件 2 作为 VoIP 电话 中 心 ，Iptables 防 
Snort IPS 分 析 网 络 


实验 使 用 


ahs has 


三 


程序 ， 以 及 启动 VoIP 呼叫 的 客户 端 主 机 。 所 有 实验 都 使 用 


Se 


RTP 协议 进行 数据 传输 , 并 使 
据 有 效 载荷 分 析 识 别 VoIP 呼叫 。IPS 有 
流量 , 一 个 用 于 SIP 数据 包 , 另 一 个 用 于 RTP 协议 。 在 实验 中 ， 
Snort IPS 被 配置 为 使 用 其 关键 字 “content” 在 分 组 的 
中 搜索 SIP 和 RTP 模式 。 


会 导致 问题 出 现 ， 因 
通信 。 本 文 的 策略 执行 原型 应 该 能 够 被 动 地 配 
要 手动 干预 以 减轻 这 个 问题 。 


| SIP 协议 进行 信号 传输 。 IPS 根 
个 规则 来 识别 VoIP 


效 载荷 


在 实验 开始 之 前 ， 防 火 墙 被 配置 为 阻止 任何 超过 1023 的 
标 端口 的 连接 ， 所 有 其 他 端口 被 阻塞 。 但 是 ， 这 种 配置 通常 
因为 VoIP 通信 可 能 使 用 动态 高 端 端口 进行 
防火 墙 而 不 需 


在 实验 过 程 中 ， 原 型 发 送 和 接收 策略 。 但 是 ， 从 IPS 接收 


的 策略 未 用 于 防火 墙 配置 。 防 火 墙 配置 基于 控制 器 收 到 的 包 输 
入 消息 进行 了 详细 描述 。 


发 送 到 中 间 盒 的 设置 是 ! 


空 制 器 根据 网 络 流量 创建 的 。 在 


本 例 中 ,发 送 到 防火 墙 的 策略 是 基于 包 消 息 获 得 的 信息 创建 的 。 


标 卫 地 址 ， 目 标 端 


表 1 显示 了 实验 期 间 SDN 控制 器 在 防火 墙 中 配置 的 策 


AN Bil o 


息 以 ISON 格式 发 送 到 管理 防火 墙 的 代理 


udp 。 要 将 此 数据 发 送 给 代理 ， 应 用 程序 向 http: 


/192.168.3.2: 500/InsertPolicyFW 地 址 发 送 请 求 。192.168.3.2 地 
址 是 防火 墙 ，5000 是 Flask 侦 听 REST 请 求 的 端 


j 从 控制 器 收 到 的 这 些 信息 ， 使 用 


d) 软件 代理 使 / python- 
iptables 库 获 取 在 防火 墙 中 设置 策略 。 然 后 ， 该 代理 程序 在 策略 


表 2 显示 了 IPS 在 实施 过 


程 中 应 用 的 规则 。 在 此 表 中 ， 关 键 字 
“content” 列 表示 IPS 在 数据 包 


“any” 表 示 任 何 地 址 或 端口 ， 


中 搜索 的 模式 。 


2 中 的 拓扑 在 Mininet 上 与 使 用 


SIPp 的 客户 端 主机 仿真 


以 生成 50 个 同时 呼叫 。3RTP 流量 由 SIPp 中 预先 加 载 的 默认 
捕获 文件 生成 。 当 SIPp 执行 结束 时 ， 会 产 
总 数 ， 呼 叫 成 功 次 数 及 响应 次 数 ， 


生 统 计 信 息 ， 如 呼叫 
呼叫 失败 次 数 。 此 次 实验 中 


制 器 成 功 的 状态 码 ， 或 在 策略 配置 


失败 时 响 


产生 了 20000 个 呼叫 。 


实验 期 间 


李 海 龙 ， 等 : AF PSH SDN 网 络 信息 服务 中 心 策略 实施 架构 


the experiment 


原型 配置 的 防火 墙 策略 示例 


Example of a firewall policy configured by the prototype during 


源 地 址 的 地 址 的 端口 号 
U 192.168.2.101 192.168.4.200 11280(RIP) 
U 192.168.2.101 192.168.4.200 14168(RIP) 
U 192.168.2.101 192.168.4.200 19406(RIP) 
U 192.168.4.200 192.168.2.101 5060(SIP) 
U 192.168.2.101 192.168.4.200 5060(SIP) 
U anywhere anywhere 1024:65535 

表 2 实验 过 程 中 由 Snort 使 用 的 规则 


Table 2 Rules used by Snort during the experiment 


源 地 址 Wii 的 地 址 的 端 内 容 

any any any any RTP 

any any any any SIP 
结果 分 析 比 较 


这 表明 所 提出 的 策略 执行 架构 
规则 。 原 型 也 成 功 地 获得 了 IPS 政策 。 
表 3 显示 了 静态 策略 和 动态 策略 方案 的 VoIP 呼叫 


司 ， 表 4 显示 了 抖动 的 比较 。 可 以 看 出 呼叫 时 延 和 持 


在 防火 墙 和 IPS 的 实验 中 ， 所 有 的 VoIP 呼叫 都 是 成 功 的 ， 
已 经 成 功 地 根据 需要 操纵 防火 墙 
在 所 有 情况 下 都 没有 数 


动 差 异 都 较 小 ， 表 明 有 和 没有 提出 的 架构 的 性 能 结果 是 非常 相 
表 3 使 用 防火 墙 的 VoIP 呼叫 时 延 


Table 3 VoIP call delay using firewall 


平均 值 ”中 值 ”最 小 值 最 大 值 
动态 策略 (ms) 5.577 4.460 1.076 78.58 
静态 策略 (ms) 6.465 5.236 1.128 130.0 
差异 (ms) -0.888 -0.776 一 一 
表 4 使 用 防火 墙 和 IPS 的 VoIP 抖动 
Table4 VoIP jitter using firewall and IPS 
平均 值 Hh ”最 小 值 最 大 值 
策略 (ms) 0.541 0.490 0.300 5.17 
I Gms) 0.5876 0.540 0.030 4.33 
È (ms) -0.0466 -0.05 = 一 
上 认 使 用 原型 的 性 能 没有 显 着 变化 的 假设 〈 即 原型 的 


上 等 于 静态 政策 的 结果 ， 置 信 水 平 为 95% )， 本 文 
[响应 时 间 结 果 进 行 了 Kolmogorov-Smirnov (KS) 依 
FE 测 试 以 检查 数据 是 否 遵 循 正 态 分 布 ， 用 R 软件 计算 p 值 ， 
\ 于 0.05， 意 味 着 数据 不 遵循 正 态 分 布 。 
P 位 数 而 不 是 平均 值 的 非 参 数 检验 。 


因此 ， 本 文 需要 


KIER AUR IGE Wilcoxon 签名 秩 检 验 (WSRT )。 


BBE SMX, Aree 
略 场景 代表 的 实验 组 ， 静 态 策略 场景 代表 的 控制 组 。 


Ea 


用 次 数 n 等 于 


20000， 


居 来 自 同一 网 络 ， 动 态 策 


测试 考虑 


。 假 设 是 : 


本 :原型 不 影响 性 能 指标 ( 拌 动 和 响应 时 间 ) 


ChinaXiv 合 作 期 
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sim 
AL, :原型 影响 性 能 指标 (抖动 和 响应 时 间 ) 
配对 样本 的 WSRT 导致 p 值 为 2.2 为 响应 时 间 度 量 。 
于 2.27 <0.05， AMIE T Ay, 这 导致 中 位 数 在 统计 上 不 同 
的 结论 。 但 是 ， 原 型 (动态 策略 》 的 场景 比 静 态 策略 的 响应 时 
间 更 短 。 因 此 ， 进 行 第 二 次 WSRT 测试 ， 以 评估 动态 策略 方案 


是 否 确实 表现 出 了 更 好 的 性 能 。 定 义 假 设 : 
Hy :~ My > 4h 
H :~ My <~ 4h 


其 中 ~ 向 是 静态 策略 样本 的 中 位 数 。 在 这 个 测试 中 , p 值 是 1， 
所 以 于, 没有 被 拒绝 。 因 此, 动态 原型 执行 策略 的 响应 时 间 的 中 
位 数 在 统计 上 低 于 静态 策略 的 中 位 数 。 换 名 话说， 统计 上 原型 
不 会 对 VoIP 呼叫 的 响应 时 间 造 成 负面 影响 。 
对 于 抖动 指标 ，WSRT 测试 返回 p 值 为 2.2… ， 
的 拒绝 。 正 如 在 响应 时 间 分 析 中 ， 有 如 下 假设 : 
Ho:~ My >~ 4 
H i~ My <~ 4h 
从 这 个 测试 得 到 的 p (EAE 1, AHER. Ke, MEXE 
动 没有 负面 影响 。 综 上 可 以 说 明 ， 所 提出 的 体系 结构 的 实现 没 
有 给 原 网 络 增加 负担 。 


RFM, 


4 ”结束 语 


本 文 提出 了 一 种 新 的 架构 来 动态 执行 SDN 网 络 中 的 中 间 
盒 策 略 。 尽 管 中 间 盒 对 于 网 络 运行 是 必 不 可 少 的 ， 但 传统 上 它 
们 是 由 管理 员 以 手动 和 静态 的 方式 配置 的 ， 这 使 得 它们 容易 出 
普 并 且 不 够 灵活 , 无 法 处 理 现代 应 用 。 在 所 提出 的 架构 中 , SDN 
被 用 来 自动 配置 最 优 中 间 盒 策略 。 所 提出 的 架构 在 Mininet 仿 
真 环境 中 实现 为 运行 的 原型 。 在 两 个 广泛 使 用 的 中 间 盒 (防火 
省 和 IPS〉 的 实验 中 对 原型 进行 了 评估 ， 使 用 不 同 的 网 络 尺 十 
来 评估 其 可 扩展 性 。 实验 考虑 了 VoIP 应 用 , 并 分 析 了 相关 的 性 
能 指标 (响应 时 间 ， 数据 包 丢 失 和 拌 动 )。 原 型 能 够 自动 和 动态 
也 强 制 执 行 中 间 盒 策略 。 此 外 ， 原 型 在 所 有 评估 的 情况 下 都 不 
会 影响 网 络 的 性 能 。 因 此 , 本 文 介 绍 的 架构 被 证 明 是 在 SDN 网 
络 中 配置 中 间 盒 策略 的 有 效 选择 。 它 提出 了 一 种 新 的 使 用 集权 
的 方式 可 编程 性 在 SDN 体系 结构 中 呈现 ， 使 中 间 盒 配 
易 和 更 有 效 。 
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